“Social scoring” e “Smart Citizen Wallet” tra Cina ed Europa

di Anna Capoluongo


Il fenomeno delle smart cities è in piena e costante evoluzione, anche grazie alle sempre più numerose applicazioni pratiche di ciò che – insieme ai big data – costituisce l’ossatura di una città intelligente: i sistemi di intelligenza artificiale.

A ben vedere per smart city possiamo intendere una città performante con riferimento a sei dimensioni (economy, mobility, people, environment, governance e living), costruita sulla combinazione di nuove tecnologie intelligenti e attività di cittadini indipendenti e consapevoli[1], sebbene – a onor del vero – una definizione universalmente riconosciuta ad oggi non è ancora rinvenibile.

Una smart city è, quindi, una “città sostenibile e vivibile[2], “(…) with high capacity for learning and innovation, which is built-in the creativity of their population, their institutions of knowledge creation, and their digital infrastructure for communication and knowledge management[3].

Avendo chiare tali premesse, si vuole analizzare un fenomeno che si sta cercando di incardinare nell’ampio concetto di città intelligente, con il risultato di sollevare, però, notevoli perplessità tanto in tema di diritti e libertà, quanto sotto il profilo della protezione dei dati personali.

Si vuole fare riferimento, cioè, ai sistemi di “social scoring” (o punteggio sociale), già (tristemente) noti in paesi come la Cina[4].

In tal senso, guardando alle origini, tali sistemi sono nati a fine anni ’90, con l’idea di contrastare fenomeni illeciti come, ad esempio, corruzione, frodi e violazioni degli obblighi contrattuali, prendendo spunto dai sistemi di “credit scoring” finanziari già esistenti negli Stati Uniti.

Il sistema di punteggio sociale cinese nasceva, quindi, con lo scopo di incentivare il buon funzionamento del mercato e della società grazie all’uso di premi (o sanzioni).

Nello specifico, andando a far confluire alcune categorie di dati e informazioni relative al singolo individuo/azienda all’interno di un unico database dedicato, si può – aggregando e confrontando gli stessi – arrivare a stilare delle liste di comportamenti “buoni” (cd. redlist) o “illeciti” (cd. blacklist), funzionali alla concessione di “incentivi”[5] o alla comminazione di sanzioni[6], che nel caso di soggetti persone fisiche possono incidere addirittura sulla libertà di movimento o sull’accesso a determinati servizi.

Le limitazioni possono estendersi anche alla famiglia. Ad esempio i figli di genitori con un basso punteggio sociale potrebbero non avere accesso a determinate scuole o università.

Il sistema si presta naturalmente anche a facili abusi, a causa della scarsa trasparenza del funzionamento delle blacklist. Chiunque può ritrovarsi in blacklist senza saperlo, come successo al giornalista Liu Hu che ha saputo di essere finito in blacklist nel momento in cui ha cercato di acquistare un biglietto aereo nel 2017[7].

In realtà suona più come un sistema di sorveglianza di massa su aree assai delicate (come onestà negli affari di governo, integrità commerciale, integrità sociale e credibilità giudiziaria), e garantito da tecnologie intelligenti ed algoritmi (quindi sempre più proteso alla profilazione massiva mediante sistemi e processi decisionali automatizzati).

Ma a ben vedere tali sistemi si sono diffusi anche altrove, ad esempio nei Paesi Bassi, dove SyRI (Systeem Risico Indicatie)[8] è stato utilizzato per l’identificazione massiva di condotte fiscali illecite, grazie alla profilazione dei dati presenti nelle dichiarazioni dei redditi registrate nel sistema.

Il fine ultimo era quello di determinare chi potesse accedere a determinati servizi di welfare e nello specifico a sussidi sociali, seguendo lo schema che si riporta.

Ciò per cui è maggiormente (e tristemente) noto il progetto SyRI, però, è legato ad uno scandalo del gennaio 2021, quando il Governo olandese optò per le dimissioni dopo che gli erronei risultati cui era pervenuto il sistema avevano portato a perseguire ingiustamente per frode ai sussidi per l’assistenza all’infanzia circa 20 mila famiglie.

Il tribunale distrettuale dell’Aia – investito del caso – da un lato ha confermato la possibilità per le autorità pubbliche di avvalersi di strumenti tecnologici per individuare condotte illecite, ma al contempo ha ritenuto il programma SyRI troppo invasivo della vita privata degli interessati, in aperto contrasto con l’art. 8 CEDU, nonché non conforme ai principi di trasparenza e di minimizzazione ex Regolamento UE 2016/679 (GDPR).

Non si sottrae, però, al pericoloso “fascino” di simili sistemi neppure l’Italia che, anzi, conta già alcuni progetti attivi in tal senso, seppur in forma ancora embrionale o di test, prettamente finalizzati alla creazione di un cd. “Smart Citizen Wallet”.

Si fa riferimento più nello specifico ai casi di Roma, Fidenza e Bologna che analizzeremo brevemente a seguire.

ROMA[9]

Il Citizen Wallet è una piattaforma di premialità che incentiva i comportamenti virtuosi messi in atto dai city user, volti a migliorare la sostenibilità ambientale, sociale ed economica della Città, in linea con gli obiettivi dell’Agenda 2030”.

In questo caso il sistema (piattaforma sperimentale) consente al “cittadino virtuoso” di ottenere punti da convertirsi in “premi” (beni e/o servizi sostenibili) offerti da Roma Capitale e dai suoi partner.

Al momento i comportamenti virtuosi individuati sono di due tipologie: la compilazione del questionario sui servizi online di Roma Capitale e l’utilizzo del servizio tap&go® di ATAC.

Il “borsellino elettronico” (wallet) sarà accessibile mediante SPID, Carta d’Identità Elettronica (CIE) o Carta Nazionale dei Servizi (CNS), previa sottoscrizione dell’informativa, e l’accredito dei punti sarà visibile a partire dalle 72 ore successive alla messa in atto dei comportamenti “eco-compatibili”.

Dal proprio profilo il singolo cittadino potrà, poi, visualizzare il saldo punti, il dettaglio delle transazioni, i partner che aderiscono all’iniziativa, il catalogo di dettaglio delle premialità e la schermata di riepilogo e riscatto dei premi.

FIDENZA[10]

Il Comune di Fidenza con delibera del 17 febbraio 2022 ha approvato il regolamento unico ERP che prevede un sistema di premialità per i “cittadini virtuosi” che – sostanzialmente rispondendo a criteri individuati dall’amministrazione comunale/pubblica – potranno accedere a determinati servizi, beni o comunque vantaggi.

Nel citato regolamento si legge:

Articolo 8 (Carta dell’assegnatario)

Dalla data di entrata in vigore del presente nuovo Regolamento, ad ogni assegnatario, è attribuita una carta denominata “Carta dell’assegnatario” riportante un credito espresso da un punteggio pari a punti 50.

  1. L’assegnatario è responsabile per i comportamenti violativi commessi da tutti i componenti il nucleo familiare avente diritto e da eventuali ospiti temporanei.
  2. In caso di irrogazione di una sanzione, il credito sarà decurtato dall’ammontare dei punti indicati per ogni violazione, come previsto dalla Tabella A, in calce al presente Regolamento.
  3. L’esaurimento del credito comporterà la risoluzione del contratto di locazione (e/o la decadenza ai sensi dell’art. 30 comma 1 lettera b per aver violato gravemente le norme del Regolamento d’uso) ai sensi delle disposizioni contenute nell’art. 31 della Legge regionale 8 agosto 2001 n. 24 e ss.mm.ii.
  4. Agli assegnatari che per un periodo consecutivo di tre anni, non incorrono in sanzioni, è attribuito automaticamente un incremento di punti 5, fino al raggiungimento del punteggio massimo di punti 65, o a recupero dei punti eventualmente decurtati per comportamenti sanzionati.
  5. Agli assegnatari che attivano meccanismi riparatori alternativi al precedente comma 5 è attribuito un incremento di punti 5, fino al raggiungimento del punteggio massimo di punti 65.
  6. È facoltà del Comune riconoscere ulteriori punti agli assegnatari che attivano comportamenti virtuosi nell’ambito di specifici progetti in favore della comunità condominiale“.

Ed ecco un estratto della citata Tabella A:

BOLOGNA

Da ultimo ha suscitato non poche preoccupazioni l’arrivo dello “Smart Citizen Wallet” (il “portafoglio del cittadino virtuoso”) proposto a Bologna a partire da dopo l’estate 2022 e che si presenta come una sorta di “raccolta punti del supermercato”, a detta dell’assessore.

Il cittadino avrà un riconoscimento se differenzia i rifiuti, se usa i mezzi pubblici, se gestisce bene l’energia, se non prende sanzioni dalla municipale, se risulta attivo con la Card cultura[11].

Detti comportamenti virtuosi andranno a dare vita ad un sistema a punti che potrà tradursi a sua volta in scontistiche e premi (ancora da definirsi).

In questo caso è previsto che il cittadino rilasci il consenso all’utilizzo dei propri dati e che tutto il processo venga gestito mediante una app dedicata.

È evidente che per la tipologia di dati personali utilizzati, per le finalità e per i mezzi scelti tali trattamenti sollevino non poche perplessità circa l’effettiva tutela dei diritti e delle libertà dei singoli interessati, tanto che si contano già alcune richieste[12] di accesso civico[13] ad alcune informazioni della PA per poter chiarire nello specifico:

  • le modalità e le caratteristiche dell’eventuale trattamento di dati personali;
  • le modalità dell’utilizzo di sistemi di intelligenza artificiale o automatizzati;
  • i nomi dei fornitori e delle terze parti coinvolte nella realizzazione del progetto.

Conclusioni

Il principio di assegnazione di “bonus” si presenta come foriero di numerose implicazioni tanto giuridiche, quanto etiche e sociali, basti pensare da chi, come e su quali basi dovrebbero essere individuati tali “cittadini virtuosi”.

Potrebbero esservi, poi, derive discriminatorie, di violazione o – addirittura – di azzeramento dei diritti (o dei servizi) sulla base di valutazioni quanto meno opinabili.

E grazie a mezzi altamente tecnologici, quali l’intelligenza artificiale e le app, per le quali le autorità garanti per la privacy riconoscono – generalmente e quanto meno – una necessaria valutazione d’impatto prima di procedere al trattamento dei dati, a riprova dei potenziali rischi per gli interessati.

La tecnologia è neutrale, ma la sua applicazione può avere effetti distorsivi o impatti gravi a livello individuale e collettivo. Il vulnus culturale è sotto gli occhi di tutti: è sempre più facile che si realizzi un trade-off fra diritti e servizi posti in essere da un’autorità pubblica, spesso portato avanti con l’etichetta di “accettazione volontaria”. Ma se la confusione ha portato al progressivo recesso dell’individuo con la compressione di alcuni diritti fondamentali in assenza della valutazione di proporzionalità, è tempo di chiarire la distinzione fra cittadino e suddito digitale[14].

La pericolosità di tali sistemi è cosa talmente nota che è stata ampiamente evidenziata anche nella recente proposta di Regolamento sull’Intelligenza Artificiale, dove gli stessi sono distinti in pratiche di AI vietate, sistemi ad alto rischio e a basso rischio.

I sistemi di social scoring, come quelli brevemente analizzati in questa sede, rientrano apertamente nella prima categoria, essendo utilizzati per valutare gli individui in base a caratteristiche personali e/o a loro comportamento ed essendo in grado di causare danni o portare a trattamenti sfavorevole.

All’articolo 5, infatti, la bozza di Regolamento sull’AI vieta alcune pratiche contrarie ai valori dell’UE o lesive dei diritti fondamentali, e tra queste si citano espressamente quelle utilizzate “ai fini della valutazione o della classificazione dell’affidabilità delle persone fisiche per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note o previste, in cui il punteggio sociale così ottenuto comporti il verificarsi di uno o di entrambi i seguenti scenari:

i) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di interi gruppi di persone fisiche in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti;

ii) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di interi gruppi di persone fisiche che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità”.

Infine, in aggiunta a tale primo profilo, non vanno dimenticati (o addirittura sottostimati) il dettato dell’articolo 22 del GDPR (relativo ai processi decisionali automatizzati che producano effetti giuridici o che incidano significativamente sull’interessato), così come il considerando 43 che apertamente suggerisce di non utilizzare il consenso dell’interessato quale base giuridica qualora il trattamento venga effettuato da enti pubblici, e così:

Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica”.


Bibliografia:

[1] Tale definizione è stata sviluppata dal gruppo di ricerca City-ranking of European medium-sized cities (Giffinger et al., 2007), ed è la più citata e condivisa dalla comunità scientifica.

[2] Chourabi H., Nam T., Walker S., Gil-Garcia J. R., Mellouli S., Nahon K., Pardo T., Jochen Scholl H., Understanding Smart Cities: An Integrative Framework, 2012 45th Hawaii International Conference on System Sciences, Maui, HI, 2012.

[3] Komninos N., The Architecture of Intelligent Cities, Intelligent Environments 06, Institution of Engineering and Technology, 2006.

[4] Per approfondimenti si veda: 而不信,不知其可也 – verso la democrazia di sorveglianza, Privacy Chronicles, https://privacychronicles.substack.com/p/-verso-la-democrazia-di-sorveglianza?s=w.

[5]un’azienda redlisted potrà accedere a procedure agevolate, tasse più basse (o esenzioni) e così via”, Privacy Chronicles ult. cit.

[6]un’azienda ritenuta inaffidabile a causa del suo punteggio riceverà più ispezioni e controlli, avrà tasse più elevate, o potrebbe avere più difficoltà a partecipare a bandi pubblici”, Privacy Chronicles ult. cit.

[7] Privacy Chronicles ult. cit.

[8] Si tratta di un sistema di analisi di Big Data ideato nel 2014 dal Ministero per gli Affari Sociali e il Lavoro dei Paesi Bassi.

[9] https://www.comune.roma.it/eventi/it/roma-innovation-smart-citizenship-dettaglio.page?contentId=PRG18880.

[10] https://www.aziendacasapr.it/documents/20182/49198/RegolamentoFidenza2022/8990c272-25d3-4d0d-bf99-ebda62dee717.

[11] https://corrieredibologna.corriere.it/bologna/politica/22_marzo_29/bologna-patente-digitale-cittadini-virtuosi-punti-premi-un-app-tutti-servizi-5a861258-af3a-11ec-9372-638361423a51.shtml.

[12] Si veda: https://www.privacy-network.it/iniziative/smart-citizen-wallet-foia-al-comune-di-bologna/.

[13] Ai sensi dell’art. 5 comma 2 del d.lgs. 33/2013.

[14] https://www.infosec.news/2022/04/09/news/riservatezza-dei-dati/smart-city-wallet-tutte-le-ombre-del-social-scoring/?no_cache=1649496718.


Autore:

Anna Capoluongo

 

it_IT